Compromitteren in het Nederlands betekent verdacht maken, in opspraak brengen.

To compromise in het Engels betekent (ook) iets verzwakken en in IT-security-jargon de beveiliging doorbreken, wat daar op zich heel aardig bij aansluit.

De definitie die jij noemt komt aardig overeen met beveiliging doorbreken. De veel voorkomende neiging van mensen om niet al te veel stil te staan bij de betekenis van woorden maar ze gewoon toe te passen heeft ten eerste gemaakt dat een Engelse betekenis aan het Nederlandse woord is toegevoegd in IT-kringen, en ten tweede dat het niet alleen gebruikt wordt als data compromitteren maar ook als de integriteit van data of systemen aantasten. En daarmee wordt compromitteren als synoniem van aantasten gebruikt, en dwalen we behoorlijk af van de eigenlijke betekenis van het woord.

Er zit in mijn ogen vooral een hoop slordig taalgebruik achter. En dat gebeurt helaas heel vaak. Wist je bijvoorbeeld dat mitigeren eigenlijk zacht maken betekent? Het is een synoniem van lenigen, zoals in de nood lenigen. Als je dan kijkt wat Microsoft's Enhanced Mitigation Experience Toolkit (EMET) eigenlijk voor naam heeft dan is dat iets volslagen idioots als de verbeterde lenigingsbelevingsuitrusting. Waarom accepteren we dat soort wartaal? Omdat we massaal niet stilstaan bij de betekenis van taal, vrees ik.

Het gaat mijns inziens om de reputatie van de data. De data is verdacht omdat mogelijk de integriteit is aangetast. Dat kan inderdaad door niet gerechtigde toegang maar ook door niet geregistreerde toegang. Stel dat je doet aan versiebeheer op z'n simpelst: je past de bestandsnaam aan en zet in de kop wie wat wanneer heeft gedaan. Vervolgens zie je dat het bestand is aangepast maar dat het niet geregistreerd is. Dat betekent dus dat je data verdacht is omdat mogelijk de integriteit is aangetast.

Mijn definitie: Compromitteren = Het aantasten van integriteit en/of vertrouwelijkheid.
Gecompromitteerde data is dus data waarvan de integriteit en/of vertrouwelijkheid is aangetast.

In "mijn" woordenboek (voor wat dat waard is ;) zijn het systemen of accounts die gecompromitteerd kunnen raken, d.w.z. dat een onbevoegde toegang heeft of heeft gehad.

Voorbeeld: op een PC in een LAN wordt ransomware gestart. Daarmee is, op zijn minst, de beveiliging van het gebruikeraccount gecompromitteerd. De PC zelf (het besturingssysteem en overige software) hoeven daarmee niet te zijn gecompromitteerd; de meeste ransomware heeft geen adminrechten nodig en doet er geen moeite voor om die te verkrijgen. Wel zal de ransomware vaak automatisch herstarten op het moment dat de gebruiker inlogt - maar dit is een per-gebruiker issue.

Vervolgens worden alle bestanden, ook op servers - waar de gebruiker schrijfrechten op heeft, versleuteld (in de praktijk wordt een versleutelde kopie van zo'n bestand gemaakt, waarna het oorspronkelijke bestand, vaak onhersteldbaar, wordt gewist).

De aanvallers zijn vaak niet geïntereseerd in de inhoud van de oorspronkelijke bestanden, dus wordt in zo'n geval de Vertrouwelijkheid niet geschonden. Wel wordt de Integriteit van de informatie geschonden. En als je geen back-up hebt, gaat de Beschikbaarheid van die informatie naar 0 (het is discutabel of je het dan nog over een schending van de Integriteit van informatie moet hebben).

Overigens splits ik zelf "Beschikbaarheid" graag op in Onmisbaarheid en Bereikbaarheid, want dat kunnen tegengestelde criteria zijn.

Kortom: systemen en accounts kunnen gecompromitteerd raken, al dan niet met consequenties voor (d.w.z. schendingen van) de BIV/CIA (Confidentiality, Integrity, Availability) van informatie. In het kader van ISO 27001, NEN 7510, BIR, VIRBI etc. kun je, denk ik, "gecompromitteerde informatie" het beste vermijden omdat het dan onduidelijk is wat er met die informatie gebeurd is.

Aanvulling 07-07-2015 17:59: als ik Google naar: compromised information system account
dan zie ik "compromised" meestal geassocieerd worden met onbevoegde toegang. Vaak wordt daarbij verwezen naar systemen of accounts, maar soms ook naar informatie. Wat er vervolgens, conform ISO 27001 etc., met die informatie gebeurt (of is gebeurd), wordt vaak aanvullend toegelicht. Omgekeerd spreek je meestal niet van de BIV van accounts en van de IV van computersystemen/netwerken (wel van de B daarvan, maar puur omdat je die nodig hebt om bij de informatie te kunnen komen).

Met alleen het woord Compromitteren zelf kan iedereen zijn eigen
verhaaltje maken.
Het gaat om dat wat gecompromiteerd wordt.
- data
- software
- hardware
- accounts
- mensen

Compromitteren zou je voor mijn gevoel wellicht kunnen vertalen met "gevaarlijk blootstellen" of "kapen".
Als iets is gecompromitteerd, dan is het niet meer gegarandeerd zuiver, koosjer, puur, onaangetast, veilig,
en kan het "besmet" zijn doordat (tijdelijk) de macht erover is overgenomen door iets of iemand die niet bevoegd is.
Want het onderwerp is dan "gevaarlijk blootgesteld" of "gekaapt" geweest, oftewel: gecompromitteerd.

Als je data is gecompromitteerd, dan betekent dit voor zover ik weet dat je data in handen van iemand anders is gevallen (geweest), en dat er daarom mee geknoeid kan zijn.

Maar als je zelf met je data knoeit, dan geloof ik niet dat "compromitteren" hier het juiste woord voor is.
Het komt in ieder geval erg vreemd op mij over als iemand het zo tegen mij zou zeggen.
Je kunt volgens mij niet je eigen data compromitteren, tenminste wanneer die data op dat moment ook echt van jou is
en niet aan iemand anders als rechtmatige eigenaar in eigendom is gegeven of verkocht.
Is dit laatste wél het geval, dan kun je wél spreken van compromitteren, omdat jij op dat moment de rechtmatige eigenaar niet meer bent.

Wat iemand volgens mij wél met zijn eigen data kan doen is "aanpassen" (=goedaardig: bijv. een foutje aanpassen) of "manipuleren"(=ondeugend of kwaadaardig: bewust rotzooien met je data).

Mvg, cluc-cluc

Iedereen bedankt voor de reacties. Ik kan hier zeker wat mee!